iPhones in stilte gehackt na bezoek malafide websites

iPhones van Apple bevatten zero-day-kwetsbaarheden die actief misbruikt werden om toestellen te kraken. Een bezoek aan een malafide website volstond om de achterpoort open te zetten. Dergelijke websites werden duizenden keren per week bezocht.

Google ontdekte eerder dit jaar een reeks van ernstige kwetsbaarheden op Apple-toestellen. Twaalf lekken, waarvan zeven in de Safari-browser, konden door hackers misbruikt worden om zo stap voor stap root-toegang tot een iPhone of iPad te verwerven. De lekken werden actief misbruikt in het wild via malafide websites. Wie zo’n site bezocht met een iOS-toestel, werd automatisch aangevallen. Die aanval gebeurde onzichtbaar op de achtergrond. Zelfs wanneer het hack succesvol was, had het slachtoffer niets door.

Via de verworven toegang konden criminelen allerhande data stelen zoals foto’s, locatiegegevens en zelfs opgeslagen. Ook andere malafide apps installeren behoorde tot de mogelijkheden. Alle versie van iOS 10 tot iOS 12 waren een tijdlang kwetsbaar, al is het niet duidelijk hoe vaak het hack effectief succesvol is uitgevoerd.

Veiligheid prioriteit

Google ontdekte het lek in februari en gaf Apple een week tijd om het op te lossen. De iPhonebouwer nam de ontdekking serieus en rolde snel updates uit voor zijn mobiel besturingssysteem. Op dit moment zijn toestellen in principe niet meer kwetsbaar.

Apple wil zich graag vereenzelvigen met veiligheid. Het lek toont aan dat zelfs de meest voorzichtige organisaties het slachtoffer kunnen zijn van hackers. Apple lanceerde recent een nieuw bug bounty-programma, precies om beveiligingsonderzoekers aan te moedigen op zoek te gaan naar lekken. Onder de nieuwe regels zou Google enkele miljoenen dollars te goed hebben van zijn concurrent voor de ontdekte kwetsbaarheden.

Gerelateerd: Apple sleept maker van virtuele iPhones voor research voor rechter